Аналіз безпекової ситуації Web3: поширені способи атак і заходи запобігання в першій половині 2022 року
У першій половині 2022 року ситуація з безпекою у сфері Web3 залишалася серйозною. Згідно з статистичними даними, основних атак через вразливості контрактів було зафіксовано 42, а загальні втрати склали 644 мільйони 404 тисячі доларів США. У цих атаках використання вразливостей контрактів становило близько 53%, що робить їх найпоширенішим методом атаки хакерів.
Аналіз основних типів атак
Серед усіх використаних вразливостей логічні або функціональні помилки є найчастішими вразливостями, які використовують хакери, за ними йдуть проблеми з верифікацією та повторними викликами. Ці вразливості не лише часто з'являються, але й призводили до значних втрат.
Наприклад, у лютому 2022 року один проект міжмережевого моста зазнав атаки через вразливість перевірки підписів, в результаті чого було втрачено близько 326 мільйонів доларів США. Зловмисникам вдалося скористатися вразливістю в контракті для підробки облікових записів та випуску токенів. Ще одна значна подія сталася 30 квітня, коли один кредитний протокол зазнав атаки черезflash loan з повторним входом, в результаті чого було втрачено 80,34 мільйона доларів США, що в підсумку призвело до закриття проекту.
Типи поширених уразливостей
Повторна атака ERC721/ERC1155: зловмисне використання функції сповіщення про передачу токенів.
Логічна вразливість:
Врахування особливих сценаріїв відсутнє, наприклад, проблема самопереказу.
Дизайн функцій незавершений, наприклад, відсутні механізми вилучення або ліквідації.
Відсутність автентифікації: ключові функції, такі як випуск монет, налаштування ролей тощо, не мають контролю доступу.
Цінова маніпуляція: неналежне використання оркулів або пряме використання небезпечних методів розрахунку цін.
Виявлення аудиту та фактичне використання
У процесі аудиту виявлені вразливості в значній мірі збігаються з тими, що були використані хакерами. Серед них логічні вразливості контракту залишаються основною ціллю атак. Варто зазначити, що завдяки професійним платформам верифікації смарт-контрактів та аудитам безпекових експертів, більшість з цих вразливостей можуть бути виявлені та виправлені на етапі розробки.
Рекомендації щодо запобігання
Посилення аудиту коду: використовувати комбінацію професійних інструментів та ручної перевірки для всебічної перевірки коду контракту.
Дотримуйтесь принципів безпечної розробки: суворо дотримуйтесь моделі проектування перевірка-дія-інтеракція, особливо у функціях, що стосуються передачі активів.
Покращення управління правами: встановити сувору механізм контролю доступу для ключових функцій.
Використання безпечних цінових оракулів: впровадження більш надійних механізмів оцінки, таких як середня зважена за часом ціна.
Розгляньте екстремальні ситуації: під час проектування враховуйте всі можливі граничні умови та спеціальні сценарії.
Регулярна оцінка безпеки: навіть запущені проекти повинні регулярно проходити перевірки безпеки та оновлення.
Завдяки вжиттю цих заходів, проекти Web3 можуть суттєво підвищити свою безпеку та знизити ризик атак. З розвитком технологій підтримка пильності та постійне оновлення стратегій безпеки стануть ключем до довгострокової стабільної роботи проекту.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Безпека Web3: аналіз поширених атак та втрат у 640 мільйонів доларів за перше півріччя 2022 року
Аналіз безпекової ситуації Web3: поширені способи атак і заходи запобігання в першій половині 2022 року
У першій половині 2022 року ситуація з безпекою у сфері Web3 залишалася серйозною. Згідно з статистичними даними, основних атак через вразливості контрактів було зафіксовано 42, а загальні втрати склали 644 мільйони 404 тисячі доларів США. У цих атаках використання вразливостей контрактів становило близько 53%, що робить їх найпоширенішим методом атаки хакерів.
Аналіз основних типів атак
Серед усіх використаних вразливостей логічні або функціональні помилки є найчастішими вразливостями, які використовують хакери, за ними йдуть проблеми з верифікацією та повторними викликами. Ці вразливості не лише часто з'являються, але й призводили до значних втрат.
Наприклад, у лютому 2022 року один проект міжмережевого моста зазнав атаки через вразливість перевірки підписів, в результаті чого було втрачено близько 326 мільйонів доларів США. Зловмисникам вдалося скористатися вразливістю в контракті для підробки облікових записів та випуску токенів. Ще одна значна подія сталася 30 квітня, коли один кредитний протокол зазнав атаки черезflash loan з повторним входом, в результаті чого було втрачено 80,34 мільйона доларів США, що в підсумку призвело до закриття проекту.
Типи поширених уразливостей
Повторна атака ERC721/ERC1155: зловмисне використання функції сповіщення про передачу токенів.
Логічна вразливість:
Відсутність автентифікації: ключові функції, такі як випуск монет, налаштування ролей тощо, не мають контролю доступу.
Цінова маніпуляція: неналежне використання оркулів або пряме використання небезпечних методів розрахунку цін.
Виявлення аудиту та фактичне використання
У процесі аудиту виявлені вразливості в значній мірі збігаються з тими, що були використані хакерами. Серед них логічні вразливості контракту залишаються основною ціллю атак. Варто зазначити, що завдяки професійним платформам верифікації смарт-контрактів та аудитам безпекових експертів, більшість з цих вразливостей можуть бути виявлені та виправлені на етапі розробки.
Рекомендації щодо запобігання
Посилення аудиту коду: використовувати комбінацію професійних інструментів та ручної перевірки для всебічної перевірки коду контракту.
Дотримуйтесь принципів безпечної розробки: суворо дотримуйтесь моделі проектування перевірка-дія-інтеракція, особливо у функціях, що стосуються передачі активів.
Покращення управління правами: встановити сувору механізм контролю доступу для ключових функцій.
Використання безпечних цінових оракулів: впровадження більш надійних механізмів оцінки, таких як середня зважена за часом ціна.
Розгляньте екстремальні ситуації: під час проектування враховуйте всі можливі граничні умови та спеціальні сценарії.
Регулярна оцінка безпеки: навіть запущені проекти повинні регулярно проходити перевірки безпеки та оновлення.
Завдяки вжиттю цих заходів, проекти Web3 можуть суттєво підвищити свою безпеку та знизити ризик атак. З розвитком технологій підтримка пильності та постійне оновлення стратегій безпеки стануть ключем до довгострокової стабільної роботи проекту.